Le truffe telefoniche sono un fenomeno in costante crescita, con malintenzionati che cercano di accedere ai dati sensibili degli utenti o di prosciugare i loro conti bancari. Una delle tecniche più recenti e pericolose è quella nota come “SIM swap“, che sfrutta le nuove procedure di sicurezza per l’accesso ai conti correnti online.
La truffa SIM swap si basa sulla sostituzione della SIM card della vittima. Una volta individuata la vittima, i truffatori utilizzano tecniche di hacking per acquisire le credenziali di home banking. Successivamente, con l’uso di documenti falsi, sostituiscono la SIM card della vittima. Attraverso lo stesso numero di telefono, riescono a ottenere dalla banca le credenziali per operare sul conto corrente online.
Questa truffa è strettamente legata alla recente entrata in vigore di una direttiva europea dedicata ai servizi di pagamento digitali, la “Psd2“, Payment Services Directive 2. Questa direttiva ha reso necessario un doppio fattore di autenticazione, in aggiunta a username e password dell’internet banking. Per sostituire i vecchi token fisici, quasi tutte le banche hanno deciso di inserire l’autenticazione tramite un’applicazione su smartphone
. Questa misura ha aumentato il livello di sicurezza complessivo, ma ha esposto gli utenti a un nuovo tipo di rischio.Un esempio di come questa truffa possa avere conseguenze devastanti è la storia di un uomo di 40 anni che ha visto sparire 50mila euro dal suo conto corrente in un attimo. I soldi sono spariti tramite quattro bonifici, ordinati con causali decisamente sopra le righe. Prima un’assenza di segnale sullo smartphone, poi la ricezione di un messaggio che conferma l’avvenuta disattivazione della SIM, che nessuno ha mai richiesto. Infine, la conferma che la SIM era stata sospesa per furto e smarrimento e poi, in un altro centro Tim, era stato fatto un duplicato della scheda.
Per difendersi da queste truffe, è consigliabile utilizzare sempre strumenti per la conferma dell’identità che facciano uso di dati biometrici. Inoltre, è preferibile utilizzare i token fisici piuttosto che le app che generano password usa e getta o sistemi di invio tramite SMS. Infine, è importante usare con attenzione i social network, evitando di veicolare i propri dati, anche involontariamente.